Gestione delle Identità Digitali: dall’Enterprise User Administration alla Federated Identity Catania, 22 Settembre 2006.

Slides:



Advertisements
Presentazioni simili
Codice della Privacy Il d. lgs. n°196 del 30 giugno 2003.
Advertisements

Prototipo del Portale Fiscale per le Aziende. Portale Fiscale x le Aziende Area informativa news Area abbonati, accesso alla home page personalizzata,
EGEE-II INFSO-RI Enabling Grids for E-sciencE EGEE and gLite are registered trademarks Sicurezza in EGEE Vincenzo Ciaschini Roma.
Unità D2 Database nel web. Obiettivi Comprendere il concetto di interfaccia utente Comprendere la struttura e i livelli che compongono unapplicazione.
La sinergia tra Office SharePoint Portal Server 2003 e Content Management Server 2002 Walter Cipolleschi.
Gestione integrata di workflow e document
Miglioramento della protezione dei dati mediante SQL Server 2005 Utilizzo della crittografia di SQL Server 2005 per agevolare la protezione dei dati Pubblicato:
La firma digitale e il protocollo da Word in un click
Configuring Network Access
| | Microsoft Certificate Lifecycle Manager.
Laurea Magistrale in Informatica Reti 2 (2007/08)
Smart Card Distribution for EGovernment Identity Promotion: Problems and Solutions.
Safe.dschola.it Attenti alle sovrapposizioni! Procedure Reali Procedure Qualità Procedure Privacy Le politiche per la privacy e la sicurezza non si risolvono.
Java Enterprise Edition (JEE)
UNIVERSITÀ DEGLI STUDI DI MODENA E REGGIO EMILIA
Health Science Community, Milano, Maria Laura Mantovani - La Federazione IDEM infrastrutture di autenticazione.
Amministrazione di una rete con Active Directory
Amministrazione di una rete con Active Directory.
Amministrazione di una rete con Active Directory
1 Seconda ora Larchitettura di un sistema di e- government: parte seconda Un esempio di progetto di e-Government: il progetto servizi alle imprese Un esempio.
Integrazione di una piattaforma IPTV in un’architettura SOA
Parma, 20 marzo 2003 Francesco Schinaia Firma Digitale e strumenti di accesso ai servizi
17/12/02 1 Direzione Sviluppo Servizi su rete, Banche dati IRIDE Infrastruttura di Registrazione e IDEntificazione.
28/3/ WEB Call Center – Ing.G.Gerosa COMPRENDERE, PIANIFICARE E GESTIRE IL PROCESSO EVOLUTIVO DAL CONTACT CENTER AL MULTIMEDIA SERVICE CENTER Giancarlo.
Sistema di supporto E-Learning
Toolkit per la ricerca partner transnazionali Seminario Strumenti per la cooperazione transnazionale nel Fondo Sociale Europeo Roma, 4 dicembre 2008.
Programma SDP Roma, 11 aprile 2007.
Chief Information Office/ SRTLC Luglio 2008 Progetto di sperimentazione Telelavoro Chief Information Office Progetto di sperimentazione Telelavoro Chief.
La nuova Intranet della Provincia di Ferrara e l’innovazione dei processi interni Ludovica Baraldi Bologna, 25 maggio 2006.
Gruppo Directory Services Rapporto dell'attivita' svolta - Marzo 2000.
Ottobre 2006 – Pag. 1
Guida IIS 6 A cura di Nicola Del Re.
Centro di Assistenza Multicanale (C.A.M.) di Cagliari
Office 365 per professionisti e piccole imprese
“Misure minime di sicurezza: adempimenti tecnici e organizzativi”
Certificazioni del personale e certificazioni dei sistemi di gestione della sicurezza delle informazioni Limportanza di una corretta impostazione delle.
1 20 maggio 2005 MISURE DI SICUREZZA INFORMATICA DEL NUOVO CODICE DELLA PRIVACY (d.lgs. 30 giugno 2003, n. 196)
Stefano Di Giovannantonio ECM Consulting Solution Expert
1 Modello di utilizzo n° 1 Login al sistema. 2 Accedere al sistema con autenticazione debole: PASSWORD ? PASSWORD scaduta ? La password è adeguata alle.
Fabrizio Grossi Verifica delle attività. L'operato degli amministratori di sistema deve essere oggetto, con cadenza almeno annuale, di un'attività
Roma Relatore Luca Nicoletti 22/05/2007 Access Management centralizzato per le applicazioni Web Lesperienza del MEF.
Configurazione in ambiente Windows Ing. A. Stile – Ing. L. Marchesano – 1/23.
I servizi di cooperazione applicativa ed accesso
Un problema importante
K-PORTAL: la soluzione con CMS per il tuo sito web dinamico K-Portal permette di presentare in modo semplice ed efficace i differenti tipi di contenuti.
Configurazione di una rete Windows
RDN - Radio Data Network Protojet Office Una Soluzione Professionale.
1 Portale dei Tirocini. 2 Obiettivi del servizio Il servizio è rivolto a tutti coloro che, a vario titolo e per le rispettive competenze, esercitano funzioni.
La Conservazione Sostitutiva e la Soluzione Una-Doc.
Azienda Ospedaliera San Giovanni Addolorata Privacy: Misure Minime di Sicurezza Gianpiero Guerrieri Dirigente Analista I.C.T.
SISR-WISCOM WIS e “Comunicazione” InternoEsterno Partner Clienti Investitori Altre organizzazioni Pubblico generico …. Dipendenti Consulenti.
Roma, 9 maggio 2005 Luca Nicoletti – Unità Disegno e progettazione Sistemi Access Management centralizzato per applicazioni WEB: l’esperienza del MEF.
INFN-AAI SAML 2.0 Dael Maselli Tutorial INFN-AAI Plus Dicembre 2010.
Misure di Sicurezza per gli Strumenti Elettronici Gianpiero Guerrieri Dirigente Analista Responsabile I.C.T.
ASP.NET – Autenticazione e Sicurezza basata sui ruoli
Ing. Adriano Cavicchi Dirigente Generale S.I.N.A.P. Sistema Informativo Nazionale degli Appalti Pubblici Forum P.A. 10 maggio 2004.
1 Dott. Federico Del Freo a.d. Zucchetti Spa. 2 LA ZUCCHETTI Tra le maggiori realtà Italiane nel Software e nei servizi > 1700 dipendenti > 155 Ml € fatturato.
By: Powered by:. Tecnologia Microsoft La soluzione CCAnalyzer utilizza la tecnologia OLAP (On Line Analytical Processing) di Microsoft presente nel software.
Dario Orselli Centro di Ateneo per le Biblioteche Università di Messina Seminario Pescara, Sala convegni CARIPE, 22 – 23 magio 2007 Autenticazione federata:
Relatore: Prof. Ing. Stefano SalsanoLaureando: Flaminio Antonucci.
PiattaformePiattaformePiattaformePiattaforme Antonio Cisternino 28 Gennaio 2005 OpenSourceOpenSourceOpenSourceOpenSource e ProprietarieProprietarieProprietarieProprietarie.
Identity & Access Management 2004: acquisizioni e riposizionamenti In Italia e nel mondo Identity Management in Banca 10 settembre 2004 Alessandro Giacchino.
Migrazione a Win2003 Server a cura del Prof. Arturo Folilela.
“Virtual Organisation” in un contesto di Federazioni di Identità Workshop congiunto INFN CCR - GARR 2012 Napoli, Istituto.
Office365 Antonella Monducci Francesca Del Corso INFN - Bologna.
Gruppi di lavoro Dreams Single Sign On, LDAP Stefano Zanmarchi, CCA.
Software Group – Tivoli Services © 2006 IBM Corporation Edison: progetto di Identity Management Obiettivo del progetto.
La gestione della rete e dei server. Lista delle attività  Organizzare la rete  Configurare i servizi di base  Creare gli utenti e i gruppi  Condividere.
INFN-AAI Autenticazione e Autorizzazione Dael Maselli Tutorial INFN-AAI Plus Marzo 2012.
Framework di sicurezza della piattaforma OCP (Identity & Access Management) Smart Cities and Communities and Social Innovation Bando MIUR D.D. 391/Ric.
Transcript della presentazione:

Gestione delle Identità Digitali: dall’Enterprise User Administration alla Federated Identity Catania, 22 Settembre 2006 Ing. Riccardo Valastro ICT Security Manager

Cosa è una identità digitale? - Identity Management Identità digitale: insieme delle informazioni di un utente (dati anagrafici, eventuali dati aziendali, credenziali di accesso ai sistemi/applicazioni/servizi, autorizzazioni, profilazioni) necessarie per governare gli accessi, con i relativi privilegi, di un individuo ai diversi servizi ICT. Necessità di gestire il ciclo di vita di un’identità digitale Identity Management: l'insieme dei processi, procedure ed infrastrutture tecnologiche per la creazione, gestione/manutenzione ed utilizzo delle identità digitali.

Scenario iniziale: gestione delle utenze sui sistemi/applicazioni Utenti (es: Mario Rossi) m.rossi 64333MR itd64333 rossim mario.rossi T0DISI1 0153MM Sistemi/Applicazioni UNIX SAP Windows e-proc e-mail IBM Z/OS Security Server (RACF) IBM Z/OS Applicazioni Amministratori/Abilitatori

Criticità Proliferazione di Basi Dati per la gestione delle utenze Duplicazione delle attività e delle competenze Proliferazione di User-ID e Password diverse per lo stesso utente Complessità dei processi di gestione delle utenze in particolare nella gestione dei profili/ruoli Complessità dei processi di gestione utenze relativi alla sicurezza (es. revoca utenze contemporanea su tutte le piattaforme/applicazioni) Scarsa efficienza in termini di costi e tempi di risposta nella gestione delle autorizzazioni Complessità nel ricostruire le attività svolte dai singoli utenti sui diversi sistemi/applicazioni.

Evoluzione: Enterprise User Administration (EUA) Utenti (es.: Mario Rossi) 64333MR My.pwd m.rossi 64333MR itd64333 rossim mario.rossi T0DISI1 0153MM Sistemi/Appilicazioni UNIX SAP Windows e-proc e-mail IBM Z/OS Security Server (RACF) IBM Z/OS Applicazioni EUA Amministrarori/Abilitatori

Enterprise User Administration (EUA) Un sistema di Enterprise User Administration consente di - gestire i sistemi di sicurezza delle piattaforme che amministra - gestire le utenze delle persone che accedono al sistema informativo aziendale sulle varie piattaforme (creazione/cancellazione utenza, assegnazione/modifica ruolo/profilo, abilitazione/disabilitazione utenza, reset password, etc.) - assegnare e gestire differenti user-id per le varie piattaforme od un’unica user-id per tutte le piattaforme, user-id associate/a alla persona - attivare meccanismi di password synchronization tra le piattaforme (cambiando la pwd su un sistema/applicazione, tale pwd viene propagata sulle altre piattaforme; le credenziali di accesso devono comunque essere digitate su ogni piattaforma) - attivare meccanismi di workflow per la gestione del processo di autorizzazione dei diritti accesso dell’utente sulle piattaforme. La soluzione di EUA rende possibile assegnare a ciascun utente, tramite un unico strumento, un profilo autorizzativo sui sistemi ed applicazioni in relazione alle attività/mansioni che gli vengono assegnate. Gli Amministratori/Abilitatori di EUA assegnano opportune autorizzazioni sui sistemi ed applicazioni in modo trasparente. L’attivazione dell’account viene effettuata con la possibilità di assegnare una user-iD univoca all’utente per tutte le piattaforme target gestite dal sistema di EUA.

Identity Management (IM) Nei sistemi di Enterprise User Administration, così come venivano intesi inizialmente, gli Amministratori/Abilitatori creavano le utenze senza, nella maggior parte dei casi, ricevere successivamente informazioni sulle variazioni di profilo (abilitazioni con privilegi superiori a quelli effettivamente necessari) o sulla effettiva presenza della persona in azienda (presenza sui sistemi/applicazioni di utenze ancora attive legate a dipendenti che avevano già abbandonato l’azienda). Per avere un vera gestione delle identità digitale (Identity Management) è necessario che venga attivato un flusso di provisioning anagrafico automatico che consenta di amministrare il ciclo di vita dell’utenza. Attivazione di processi di provisioning anagrafico dalla base dati aziendale di Human Resource verso il sistema di Enterprise User Administration e da questo verso i sistemi/applicazioni target.

Identity Management: architettura User provisioning

Identity Management: vantaggi Diminuzione complessiva del numero dei centri per la gestione degli account su sistemi/applicazioni diversi attraverso un unico strumento ed un unico repository centrale Disponibilità di un unico punto di riferimento per l’assegnazione/revoca ai dipendenti delle utenze nell’ambito del sistema informativo Incremento della sicurezza informatica (es.: riduzione utilizzo foglietti con elenco user-id e pwd) Revoca unica degli account su tutti i sistemi/applicazioni Gestione utenze da parte di una struttura (Abilitatori) opportunamente formata e responsabilizzata Efficace processo di reporting e monitoring delle attività svolte dagli Abilitatori ed utenti sui diversi sistemi/applicazioni (unica user-id personale e standard) Utilizzo di un’unica user-id e password, attraverso il meccanismo di sincronizzazione delle password (UNICA CREDENZIALE), per l’autenticazione su sistemi/applicazioni eterogenei Un interlocutore definito per la gestione delle anomalie: le problematiche che possono insorgere durante i processi di identificazione, autenticazione ed autorizzazione vengono demandate ad un’unica struttura, invece di fare riferimento alle varie strutture che gestiscono gli account sui diversi sistemi/applicazioni Facilita l’applicazione Dlgs 196/2003 (adozione di procedure di gestione delle credenziali di autenticazione ed utilizzo di un sistema di autorizzazione).

Problematica: con quale criterio devono essere assegnati i privilegi di accesso dell’utente? Discretionary Access Control (DAC): un soggetto (proprietario) può cambiare i diritti di accesso degli oggetti che possiede. Mandatory Access Control (MAC): la gestione del controllo accessi è affidata completamente all'amministratore ed i soggetti non possono in alcun modo modificare i diritti di accesso impostati dall'amministratore (l’accesso degli utenti ad oggetti è limitato in base a livelli di sicurezza definiti). Role-Based Access Control (RBAC): prevede la definizione di tipologie di ruoli applicativi legati ai ruoli aziendali e quindi l’associazione tra utenti e profili autorizzativi basata sul ruolo posseduto dall’utente all’interno dell’organizzazione. Il modello RBAC è quello che si cerca di utilizzare più frequentemente. La definizione/assegnazione di un ruolo secondo relazioni predefinite e limitate è estremamente potente e flessibile, ma anche piuttosto complessa da progettare. Chi decide chi è la persona che deve accedere ad un sistema/applicazione e che cosa deve fare? Decide il ruolo aziendale od il Responsabile della risorsa umana da attivare sulla piattaforma?

Identity & Access Management (IAM) Un sistema di Identity & Access Management è composto principalmente dai seguenti elementi: - Identity Management (comprensivo di provisioning anagrafico e degli user) - Access Control (componenti di authentication di authorization) - Repository delle identità digitali e delle policy/privilegi di accesso - Single Sign On (unica credenziale da digitare solo una volta per poter accedere a tutti i sistemi/applicazioni a cui si è abilitati con i profili autorizzativi assegnati) - Control & Audit & Reporting su chi accede a che cosa in ambienti eterogenei - eventuali meccanismi di strong authentication.

Identity & Access Management (IAM): architettura Identity Management EUA Provisioning Identity&Access Policy Repository Risorse Applicazioni Sistemi Database Access Control Authorization Authentication SSO Audit Smart card, certificati X509, biometria,… Fase 1: Log on Fase 3: accesso alle risorse Fase 2: verifica autenticazione e autorizzazione, associazione privilegi di accesso

Federated Identity Le architetture di IAM sono nate principalmente per soddisfare il bisogno di governare in sicurezza le risorse interne di un’azienda. Le aziende stanno avvertendo sempre più la necessità di scambiare/gestire informazioni critiche tra organizzazioni diverse e quindi anche quelle relative alle identità digitali associate. Nascono le Federated Identity o Identità Federate: tra aziende diverse vengono stipulati accordi (legali e contrattuali relativi alla fiducia ed alla privacy, diritto di audinting sui patner), applicati standard ed adottate tecnologie per condividere in sicurezza informazioni critiche e gestire opportunamente le identità digitali (Federated Identity Management, FIM). Un utente già autenticato, appartenente ad una Federazione, può accedere ad applicazioni/servizi di una o più organizzazioni diverse dalla propria, ma tutte appartenenti alla stessa Federazione, senza dover fornire nuovamente le proprie credenziali. Tale tipo di Federazione, detta Business to Consumer (B2C), è basata su accesso da portali, tramite normali browser. Un altro tipo di Federazione è di tipo Application to Application (A2A), dove applicazioni residenti in organizzazioni patner comunicano tra loro direttamente utilizzando Web Services sicuri (i Web Services sono applicazioni Web-based che utilizzano protocolli e standard per consentire ad altre applicazioni di scambiarsi informazioni su Intranet, Extranet od Internet). Anche in questo caso vi è la necessità della gestione di credenziali. Definizione di processi per la gestione congiunta di situazioni di crisi derivanti da emergenze in strutture ICT.

Federated Identity: standard Business Partner A Business Partner B Azienda Autenticazione Log on Utenti o Dipendenti Servizi/applicazioni Federated ID Circle of Trust Il Federated ID consente all’utente di essere riconosciuto e di accedere ai servizi offerti all’interno della Federazione senza doversi autenticare nuovamente Una Federazione implica la descrizione e comunicazione delle identità (token di sicurezza/Federated ID), l’utilizzo di protocolli per tale scambio di informazioni, la definizione di relazioni di trust. Principali standard utilizzati: SAML 2.0 (Security Assertion Markup Language), framework per lo scambio di informazioni (assertion) di autenticazione, autorizzazione ed attributi utente tra domini federati rilasciato dalla OASIS (Organization for the Advancement of Structured Informations Standard). Al momento, è il più supportato ed adottato ID-FF Identity Federation Framemork (ID-FF) della Liberty Alliance WS Federation (Web Services Federation), sviluppato da IBM, Microsoft, BEA, RSA e Verisign WS Security 1.0 (Web Services Security), sviluppato inizialmente da IBM, Microsoft e Verisign e gestito oggi da OASIS.

Esempio di realizzazione: Poste Italiane S.p.A. È stato realizzato un sistema di Identity Management. Il sistema di IM si basa su un’architettura centralizzata di user administration e di provisioning. Tramite un unico strumento si assegna a ciascun utente un profilo di permessi che valida l’accesso a sistemi ed applicazioni in relazione alle attività/mansioni che devono essere assegnate agli utenti sul territorio. Il sistema permette: la gestione dei sistemi di sicurezza delle varie piattaforme target, in modo centralizzato attraverso un'unica interfaccia utente la gestione dei diritti di accesso delle persone al sistema informativo aziendale l’integrazione con le informazioni di Human Resource (HR): provisioning anagrafico aziendale L’assegnazione ad un dipendente di una determinata mansione comporta l’attivazione da parte di utenti Abilitatori delle opportune autorizzazioni sui sistemi ed applicazioni da assegnare. Sono definiti tre livelli di Abilitatori: Abilitatore Periferico (gestisce gli account degli utenti dei S.I. di Poste) Abilitatore Master di 2° livello (assiste/gestisce gli Abilitatori Periferici) Abilitatore Master di 1° livello (supervisore di EUA, assiste/gestisce gli Abilitatori di II° livello).

Sistema di IM di Poste Italiane: architettura Uffici Postali Windows NT e-Procurement AribaBuyer IBM Z/OS RACF Il sistema di IM è in produzione dal 1 Settembre 2005. Le piattaforme target di Poste Italiane attualmente gestite sono: Windows NT Windows 2003 con Active Directory Controllo Accessi Applicativi RACF eProcurement/Ariba Buyer/iPlanet (Postecom) SAP BW SAP R/3. EUA Server EUA Gateway Directory Corporate Windows AD Sistema MS di Provisioning IBM Z/OS CAA SAP R/3 & BW Mainframe Human Resource

Sistema di IM di Poste Italiane: caratteristiche La piattaforma realizzata in Poste Italiane è uno dei più grandi sistemi di Identity Management centralizzati in Europa; attualmente gestisce circa: 160.000 persone 80.000 utenti attivi 400.000 utenze 1000 Abilitatori Più di 25.000 transazioni giornaliere.

Cambia password da Windows Sistema di IM di Poste Italiane: sincronizzazione password (unica credenziale di accesso) Win User: CN=mrossi 2 Controllo Policy 2 Controllo Policy Windows Agent EUA sulla piattaforma target 3 Cambia password da Windows 1 Password On line Interceptor EuaPassfilt Evento di cambio password New pwd: x1k2K1q9 Comunica la pwd al Server EUA 4 EUA Server 5 Allineamento Pwd SAP User: mrossi Pwd: x1k2K1q9 CAA/RACF User: mrossi eProcurement User: mrossi Pwd: x1k2K1q9 Pwd: x1k2K1q9

Sistema di IM di Poste Italiane: organizzazione

Evoluzione del sistema IM di Poste Italiane verso lo IAM Obiettivi e finalità: definizione di una architettura di Identity&Access Management e SSO standard a livello di Gruppo Poste e che consenta di gestire le identità degli utenti interni all’azienda e dei partner esterni, nonché, dei clienti, ovvero gestione unitaria e centralizzata dei profili automatizzazione dei meccanismi di workflow Single Sign On fra le applicazioni (inizialmente quelle Web) gestione dell’accesso multicanale. AAA: Authentication, Authorization, Accounting SSO: Single Sign On Global Catalog: repository centralizzato dei profili utente, ruoli organizzativi ed applicativi ed associazioni ruoli organizzativi/ruoli applicativi. EUA/User provisioning username/password X.509 Token Biometrics AAA/SSO

Certification Autority Integrazione con i sistemi di strong authentication: autenticazione con smart card e certificati X.509 (Active Directory) Certification Autority CRL (Active Directory) (Active Directory)

Fattori critici di successo La tecnologia non è l’unico fattore di successo di un progetto: senza un’organizzazione preparata che applichi correttamente le procedure di un processo, ogni soluzione tecnologica perde di efficacia o si rileva inutile. Alcune tematiche organizzative che devono essere affrontate: definizione della struttura degli Abilitatori definizione della struttura di Help Desk e delle relative procedure di intervento (verifica direttive aziendali, Call Center) definizione di un processo sicuro per la richiesta di abilitazione utenze e della relativa gestione definizione ed applicazione delle procedure, anche di sicurezza, che saranno emanate per il corretto funzionamento del processo di gestione utenze condivisione di processi e procedure tra le diverse strutture aziendali team di esperti per la gestione del sistema di IAM, con affiancamento già dalla fase di pre-esercizio alla Società che sviluppa, realizza e customizza il sistema di IAM secondo le specifiche tecniche/organizzative aziendali.

Conclusione, domande? Per informazioni: Ing. Riccardo Valastro Poste Italiane S.p.A. Chief Information Office ICT Security Viale Europa, 175 – 00144 Roma e-mail: valastror@posteitaliane.it E se siete interessati alla sicurezza delle infrastrutture critiche, eseguite il download da http://www.iscom.gov.it/documenti/files/news/pub_003_ita.pdf